【Web担当者のためのリスク対策シリーズ】
今、実践すべきセキュリティ対策ガイド

Web担当者として、日々の業務にある「アクセス数をどう伸ばすか」「CVRをどう改善するか」など、考えることが多い中で、おざなりになりがちなセキュリティ対策。目標に直結しないからと「情報システム部やサーバー管理会社の管轄」と切り離して考えてはいないでしょうか。

Webサイトの構築・運用において、Web担当者の判断（要件定義）こそが、Webサイトの寿命を左右すると言っても過言ではありません。特に、予算やスケジュールの都合で「セキュリティ」の優先順位を下げた結果、取り返しのつかない事故に繋がることもあります。

本記事では、実際に起きたWebサイト閉鎖事例を紐解きながら、Web担当者が押さえておくべきセキュリティのポイントについて解説します。

【事例】運用コスト削減が招いた「Webサイトの閉鎖」

はじめに、ある企業様のWebサイトに発生してしまったトラブルをご紹介します。

「現状動いているから」は本当に大丈夫？

この企業様では初期段階から構築コストを抑えるため無料CMSを導入されていました。インフラ担当者はセキュリティリスクを警告し、強固な環境への移行を提案しましたが、経営層は「現状動いているから」と対策を先延ばしを決定されました。

突然訪れる重大なセキュリティ事案

しかし、深夜にCMSの脆弱性を突いた不正アクセスが発生。サーバーが高負荷に陥り、同じサーバーに格納されていた他社のWebサイトまで表示速度を低下させる実害を与えてしまったため、サーバー管理者判断で強制閉鎖となってしまいました。

最終的な結果

1ヶ月の調査を経て、脆弱性修正による再開も検討されましたが、以下の理由からWebサイトは最終的にデータ破棄という判断に至りました。

• 一度侵入されたシステムへの不信感が拭えなくなってしまった。
• 調査費用が嵩み、再構築のための予算が底を突いてしまった。

つまり、目先のコスト削減を優先した結果、Webサイトという「資産」そのものを失う本末転倒な結果に終わってしまったのでした。

攻撃を受けないWebサイトの構造設計ポイント

この事例の根本原因は、インフラの脆弱さ以前に、「Webサイトの構造上の課題」にあります。

人気の無料CMSに代表される、一般的な動的CMSは、アクセスがあるたびにプログラムがデータベースと通信し、ページを生成する仕組みです。メリットも多く、上手く使えばとても利便性が高いシステムですが、選択する際には必ずデメリットも理解しなければなりません。

実はこの仕組みは、アクセスのたびにCMS及びデータベースと通信しており、「インターネットという人通りの多い路上に、誰でも触れる状態でCMS（金庫）を置いている 」というリスクが高い状況に近いと言えます。

こうしたリスクに対しては、運用体制でカバーする方法（パスワード管理など）も重要ですが、攻撃を受けないWebサイトの構造にすることでより強固な対策をすることができます。
今回は、Web担当者が要件を検討する際に知っておきたい攻撃を受けないWebサイトの構造設計ポイントをご紹介します。

ポイント１
公開サーバー上のファイルを静的ファイルに限定する（ファイルの静的化）

CMSから動的にページを表示するのではなく、CMSに入力されたデータを元に「静的なHTMLファイル」を生成し、公開サーバーにはそのHTMLだけを置く方法です。

有効性

ポイント２
CMS本体（コアファイル）を隔離する

CMSのプログラム本体やデータベースを、エンドユーザーがアクセスできる公開領域（ドキュメントルート）の外、あるいはファイアウォールの内側にある別サーバーに設置する方法です。

有効性

明日から取り組むべき3つのチェックポイント

構造的な改修がすぐには難しい場合でも、Web担当者が「知らなかった」では済まされない、運用上のチェックポイントがあります。

ポイント１
CMSとプラグイン、アカウントの「鮮度管理」

CMS運用では、「バージョン」「プラグイン」「アカウント」の鮮度管理が欠かせません。更新されていない本体バージョンや放置されたプラグイン、不要なアカウントは、気づかないうちにセキュリティリスクを高める要因になります。定期的な見直しと整理が、安全なWebサイト運用の基本です。

本体バージョンの確認

CMSのバージョンが古いまま（塩漬け）になっていませんか？
脆弱性が発見されたバージョンを使い続けることは、攻撃者に対してドアを開け放っているのと同じです。

不要プラグインの削除

「便利そうだから」と導入し、現在は使っていないプラグインが有効化されたままになっていませんか？
更新が止まったプラグインは格好の侵入口になります。

不要アカウントの削除

退職者やすでに契約の終わった外注先担当者のアカウントが放置されていませんか？
アカウント管理が機能していない場合はそれ自体がセキュリティホールです。

ポイント２
「利便性」と「安全性」のトレードオフ見直し

「カフェのWi-Fiからでも、自宅からでも、IDとパスワードさえ入力すれば管理画面に入れる」。このような環境は利便性が高い一方で、アクセス元の制限がないため、認証情報が漏えいした場合に第三者から不正にアクセスされるリスクがあります。セキュリティ上は「意図しない侵入経路となり得る」状態です。

そこで、「どこからでも入れる状態」を前提にするのではなく、アクセスの入口そのものをコントロールすることが重要になります。
具体的には、以下のような対策が可能です。

接続元制限

社内IPアドレスやVPN経由でのみアクセス許可する。

認証の二重化

ログインURLの手前に「BASIC認証」などの壁を設ける。 これらを検討し、「どこからでも入れる」状態からの脱却を図ってください。

ポイント３
有事の際の「緊急連絡ルート」の確立

サイバー攻撃は、平日の営業時間内に起きるとは限りません。たとえば深夜に不正操作が発生した場合、すぐに気づき、適切な判断ができる体制が整っているでしょうか。

緊急時には、以下のフローが事前に整理されていることが重要です。

こうした連絡ルートや判断基準が曖昧な場合、有事の対応が遅れ被害を拡大させてしまうこともあります。もし「すぐに連絡網が出てこない」「夜間対応の仕組みがあいまい」と感じる点があれば、早急に体制を見直すことをおすすめします。

セキュリティ事故で失うのは、Webサイトだけではない

Web担当者のミッションは、Webサイトを通じて企業の利益やブランド価値を最大化することです。しかし、セキュリティ事故が起きれば、これまで積み上げたマーケティング施策が損なわれるだけでは済みません。

考えられる損失

セキュリティ対策は総じて高コストになりがちですが、「手を抜いた時に発生するリスク」と天秤にかけて考える必要があります。セキュリティ対策にかかる費用は、単なるコストではなく、企業のブランドと存続を守るための「投資」です。

すべてをWeb担当者一人で解決する必要はありません。しかし、今回挙げたリスクと対策を理解し、社内の関連部署やパートナー企業と適切な対話を行うこと。それこそが、Web担当者が果たすべき「見えない責任」なのです。

まとめ：Webサイトの資産価値を守るセキュリティ対策を

事例でお伝えした通り、目先のコスト削減が「Webサイト閉鎖」という大きな損失につながるケースもあります。Web担当者として、セキュリティについても早い段階から検討しておくことが重要です。

もし現状に不安があれば、専門家による「第三者診断」の活用をお勧めします。客観的な視点でリスクを可視化し、優先順位を明確にできます。

「まずは現状を知りたい」という段階でも構いません。貴社のWebサイトを長く安全に運用するために、ぜひお気軽にご相談ください。

お問い​合わせ

執筆者紹介

ディレクター | Oshima

Web業界での豊富なキャリアを経て、2019年にソニーネットワークコミュニケーションズへ入社。
現在はプロジェクトリーダーとして多数のプロジェクトを牽引。既存案件のマネジメント業務と並行して、GDPR対応やAI活用などの先進的な技術・知識の習得に励み、クライアントへの新たな価値提供に繋がる新規提案を推進している。

関連事例

サイトの運用負荷を削減しながら、海外展開を強化

住友金属鉱山株式会社 様

• CMS導入
• Webサイト運用

業種：製造

家庭向けサービスの顧客獲得数が約3倍に増加

株式会社東急パワーサプライ 様

• RFP作成支援
• CMS導入
• Webサイト運用
• クラウド

業種：エネルギー

関連サービス

CMS導入

オープンソースやパッケージのCMS導入だけではなく、フルスクラッチでのCMS開発もご相談いただけます。

• 設計・開発
• CMS導入

Webサイト運用

Webサイトの定常運用から、分析改善までサポートします。大規模サイトの運用にもチーム体制で対応します。

• 設計・開発
• サイト制作
• ジタルマーケティング
• SNS運用
• メルマガ
• デザイン

RFP作成支援

お客様に代わって要求仕様書 / 提案依頼書（RFP）の作成を行うサービスです。

• 設計・開発
• サイト制作

Webサイト分析サービス

Webサイトを分析、そして改善案をご提案。専門家による評価を通して、品質向上を支援します。

• サイト制作
• アクセス解析
• 調査分析